unerwünschter lila Hintergrund im Firefox

#1 Hallo,

in letzter Zeit hab ich ein kleines Problem mit meinem Webbrowser. Ich hatte bisher den Firefox installiert und habe da seit neuestem immer wieder einen lila Hintergund.
Beim starten ist er kurz zu sehen und verschwindet dann meißtens wieder. Bei manchen Seiten schleicht er sich jedoch ein und der eigentliche Text ist dann kaum noch zu lesen.
Ich habs nun auch mal mit dem Netscape probiert. Da wars dann kurze Zeit ok aber dann kam auch da dieser Hintergund.

Kann mir jemand sagen wie ich den rausbekomme?

Herzlichen Dank

Wolfgang

#2 Hallo

Lila Hintergrund ???
passiert das auch beim IE ?

poste bitte das Log vom HijackThis
http://www.virus-protect.org/hjtkurz.html
__________
MfG Sabina

rund um die PC-Sicherheit

#3 Hi Sabina,

nein nicht lila, der Hintergrund enspricht eher der Farbe Magenta. So wie sie ihn die Telekom gerne benützt.

Hier mein LOG

Logfile of Trend Micro HijackThis v2.0.2
Scan saved at 16:37:56, on 26.03.2008
Platform: Windows XP SP2 (WinNT 5.01.2600)
MSIE: Internet Explorer v6.00 SP2 (6.00.2900.2180)
Boot mode: Normal

Running processes:
C:\WINDOWS\System32\smss.exe
C:\WINDOWS\system32\winlogon.exe
C:\WINDOWS\system32\services.exe
C:\WINDOWS\system32\lsass.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\System32\svchost.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\spoolsv.exe
C:\WINDOWS\Explorer.EXE
C:\Programme\Analog Devices\SoundMAX\SMTray.exe
C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe
C:\Programme\HP\hpcoretech\hpcmpmgr.exe
C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
C:\Programme\Java\jre1.6.0_03\bin\jusched.exe
C:\Programme\QuickTime\QTTask.exe
C:\PROGRA~1\eScan\TRAYICOS.EXE
C:\WINDOWS\system32\ctfmon.exe
C:\Programme\Messenger\msmsgs.exe
C:\WINDOWS\NCLAUNCH.EXe
C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
C:\Programme\Netscape\Netscape\Netscp.exe
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\PROGRA~1\Magentic\bin\MgApp.exe
C:\PROGRA~1\INCRED~1\bin\ImApp.exe
C:\PROGRA~1\eScan\VISTA\avpmapp.exe
C:\PROGRA~1\eScan\TRAYSSER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\WINDOWS\system32\svchost.exe
C:\PROGRA~1\eScan\consctl.exe
C:\WINDOWS\system32\WgaTray.exe
C:\PROGRA~1\eScan\Vista\eScanMon.exe
C:\Programme\Mozilla Firefox\firefox.exe
C:\WINDOWS\system32\rundll32.exe
C:\WINDOWS\system32\msiexec.exe
C:\Programme\Trend Micro\HijackThis\HijackThis.exe

R0 - HKCU\Software\Microsoft\Internet Explorer\Main,Start Page = http://mystart.magentic.com/english/
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Page_URL = http://go.microsoft.com/fwlink/?LinkId=69157
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Default_Search_URL = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKLM\Software\Microsoft\Internet Explorer\Main,Search Page = http://go.microsoft.com/fwlink/?LinkId=54896
R1 - HKCU\Software\Microsoft\Internet Explorer\SearchURL,(Default) = http://glamour-x.com/helper404.php?q=/?url=%s
O2 - BHO: Adobe PDF Reader Link Helper - {06849E9F-C8D7-4D59-B87D-784B7D6BE0B3} - C:\Programme\Adobe\Acrobat 7.0\ActiveX\AcroIEHelper.dll
O2 - BHO: Spybot-S&D IE Protection - {53707962-6F74-2D53-2644-206D7942484F} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O2 - BHO: SSVHelper Class - {761497BB-D6F0-462C-B6EB-D4DAF1D92D43} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O4 - HKLM\..\Run: [Smapp] C:\Programme\Analog Devices\SoundMAX\SMTray.exe
O4 - HKLM\..\Run: [NeroFilterCheck] C:\WINDOWS\system32\NeroCheck.exe
O4 - HKLM\..\Run: [ATIPTA] C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe
O4 - HKLM\..\Run: [HP Software Update] "C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe"
O4 - HKLM\..\Run: [HP Component Manager] "C:\Programme\HP\hpcoretech\hpcmpmgr.exe"
O4 - HKLM\..\Run: [HPDJ Taskbar Utility] C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe
O4 - HKLM\..\Run: [DeviceDiscovery] C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe
O4 - HKLM\..\Run: [SunJavaUpdateSched] "C:\Programme\Java\jre1.6.0_03\bin\jusched.exe"
O4 - HKLM\..\Run: [ALDI_SUED_FotoSuite_Download] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [ALDI Foto Service] "C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" /autorun
O4 - HKLM\..\Run: [QuickTime Task] "C:\Programme\QuickTime\QTTask.exe" -atboottime
O4 - HKLM\..\Run: [eScan Updater] C:\PROGRA~1\eScan\TRAYICOS.EXE /App
O4 - HKLM\..\Run: [MailScan Dispatcher] "C:\PROGRA~1\eScan\LAUNCH.EXE" /startup
O4 - HKCU\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\ctfmon.exe
O4 - HKCU\..\Run: [MSMSGS] "C:\Programme\Messenger\msmsgs.exe" /background
O4 - HKCU\..\Run: [NCLaunch] C:\WINDOWS\NCLAUNCH.EXe
O4 - HKCU\..\Run: [NBJ] "C:\Programme\Ahead\Nero BackItUp\NBJ.exe"
O4 - HKCU\..\Run: [updateMgr] "C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" AcRdB7_0_9 -reboot 1
O4 - HKCU\..\Run: [IncrediMail] C:\Programme\IncrediMail\bin\IncMail.exe /c
O4 - HKCU\..\Run: [SpybotSD TeaTimer] C:\Programme\Spybot - Search & Destroy\TeaTimer.exe
O4 - HKCU\..\Run: [Magentic] C:\PROGRA~1\Magentic\bin\Magentic.exe /c
O4 - HKCU\..\Run: [Mozilla Quick Launch] "C:\Programme\Netscape\Netscape\Netscp.exe" -turbo
O4 - HKUS\S-1-5-19\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'LOKALER DIENST')
O4 - HKUS\S-1-5-20\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'NETZWERKDIENST')
O4 - HKUS\S-1-5-18\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'SYSTEM')
O4 - HKUS\.DEFAULT\..\Run: [CTFMON.EXE] C:\WINDOWS\system32\CTFMON.EXE (User 'Default user')
O4 - Global Startup: Adobe Gamma Loader.lnk = C:\Programme\Gemeinsame Dateien\Adobe\Calibration\Adobe Gamma Loader.exe
O4 - Global Startup: Adobe Reader - Schnellstart.lnk = C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
O4 - Global Startup: Scanner Finder.lnk = C:\Programme\ScanWizard 5\ScannerFinder.exe
O4 - Global Startup: VR-NetWorld Auftragsprüfung.lnk = C:\Programme\VR-NetWorld\VRToolCheckOrder.exe
O8 - Extra context menu item: Nach Microsoft &Excel exportieren - res://C:\PROGRA~1\MICROS~2\OFFICE11\EXCEL.EXE/3000
O8 - Extra context menu item: Suche - res://C:\Programme\eBay\eBay Toolbar2\eBayTb.dll/RCSearch.html
O9 - Extra button: (no name) - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra 'Tools' menuitem: Sun Java Konsole - {08B0E5C0-4FCB-11CF-AAA5-00401C608501} - C:\Programme\Java\jre1.6.0_03\bin\ssv.dll
O9 - Extra button: Recherchieren - {92780B25-18CC-41C8-B9BE-3C9C571A8263} - C:\PROGRA~1\MICROS~2\OFFICE11\REFIEBAR.DLL
O9 - Extra button: Real.com - {CD67F990-D8E9-11d2-98FE-00C0F0318AFE} - C:\WINDOWS\system32\Shdocvw.dll
O9 - Extra button: (no name) - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra 'Tools' menuitem: Spybot - Search && Destroy Configuration - {DFB852A3-47F8-48C4-A200-58CAB36FD2A2} - C:\Programme\Spybot - Search & Destroy\SDHelper.dll
O9 - Extra button: Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O9 - Extra 'Tools' menuitem: Windows Messenger - {FB5F1910-F110-11d2-BB9E-00C04F795683} - C:\Programme\Messenger\msmsgs.exe
O23 - Service: Adobe LM Service - Adobe Systems - C:\Programme\Gemeinsame Dateien\Adobe Systems Shared\Service\Adobelmsvc.exe
O23 - Service: Ati HotKey Poller - ATI Technologies Inc. - C:\WINDOWS\system32\Ati2evxx.exe
O23 - Service: ATI Smart - Unknown owner - C:\WINDOWS\system32\ati2sgag.exe
O23 - Service: eScan Monitor Service - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\VISTA\avpmapp.exe
O23 - Service: eScan Server-Updater (eScan-trayicos) - MicroWorld Technologies Inc. - C:\PROGRA~1\eScan\TRAYSSER.EXE
O23 - Service: MWAgent - MicroWorld Technologies Inc. - C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
O23 - Service: SoundMAX Agent Service (SoundMAX Agent Service (default)) - Analog Devices, Inc. - C:\Programme\Analog Devices\SoundMAX\SMAgent.exe

--
End of file - 7504 bytes

#4 Hallo,

- seit wann passiert das ? Irgendwas installiert und dann.. ?
- passiert das auch beim IE ???

wende Combofix an + poste den Report
http://www.virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#5 Den Hintergrund habe ich seit ca. 14 Tagen. Der Browser benötigt auch unglaublich lange beim Start bis er sich endlich öffnet. (ca. 30 Sekunden vom anklicken bis zum öffnen)
Den IE hab ich da schon länger gelöscht.

Wolfgang

und hier das Log vom Combofix

ComboFix 08-03-25.4 - Hermann 2008-03-26 16:54:47.2 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.1105 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Hermann\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere Löschungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((( Dateien erstellt von 2008-02-26 bis 2008-03-26 ))))))))))))))))))))))))))))))
.

2008-03-26 16:51 . 2008-03-26 16:51 <DIR> d-------- C:\Programme\CCleaner
2008-03-26 16:37 . 2008-03-26 16:37 <DIR> d-------- C:\Programme\Trend Micro
2008-03-26 16:13 . 2008-03-26 16:32 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-03-26 16:13 . 2008-03-26 16:13 <DIR> d-------- C:\Dokumente und Einstellungen\Hermann\Anwendungsdaten\SUPERAntiSpyware.com
2008-03-26 16:13 . 2008-03-26 16:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-03-22 18:31 . 2008-03-22 18:30 691,545 --a------ C:\WINDOWS\unins000.exe
2008-03-22 18:02 . 2008-03-22 18:02 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.MEINER.000\Anwendungsdaten\Lavasoft
2008-03-22 17:53 . 2004-11-28 13:11 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.MEINER.000\Vorlagen
2008-03-22 17:53 . 2004-11-28 13:03 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator.MEINER.000\Startmenü
2008-03-22 17:53 . 2004-11-28 13:03 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.MEINER.000\Netzwerkumgebung
2008-03-22 17:53 . 2004-11-28 13:03 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.MEINER.000\Lokale Einstellungen
2008-03-22 17:53 . 2004-11-28 13:03 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.MEINER.000\Favoriten
2008-03-22 17:53 . 2004-11-28 13:03 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.MEINER.000\Druckumgebung
2008-03-22 17:53 . 2008-03-22 18:02 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator.MEINER.000\Anwendungsdaten
2008-03-22 15:44 . 2008-03-22 15:44 20 --a------ C:\WINDOWS\WIN.PRO
2008-03-22 15:41 . 2008-03-26 16:56 17,360,928 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-03-22 15:41 . 2008-03-26 16:28 222,212 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-03-22 15:40 . 2008-03-24 10:56 230 --a------ C:\WINDOWS\escan.dbf
2008-03-22 15:37 . 2008-03-22 15:37 <DIR> d-------- C:\PUB
2008-03-22 15:35 . 2008-03-22 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Vorlagen
2008-03-22 15:35 . 2008-03-22 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Startmenü
2008-03-22 15:35 . 2008-03-22 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Favoriten
2008-03-22 15:35 . 2008-03-22 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Dokumente
2008-03-22 15:35 . 2008-03-22 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Anwendungsdaten
2008-03-22 15:35 . 2008-03-22 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Vorlagen
2008-03-22 15:35 . 2008-03-22 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmenü
2008-03-22 15:35 . 2008-03-22 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-03-22 15:35 . 2008-03-22 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Dokumente
2008-03-22 15:35 . 2008-03-22 15:35 105,888 --a------ C:\WINDOWS\winsbak2.reg
2008-03-22 15:35 . 2008-03-22 15:35 14,866 --a------ C:\WINDOWS\winsbak.reg
2008-03-22 15:35 . 2004-11-28 13:25 211 --a------ C:\bootini.ins
2008-03-22 15:34 . 2008-03-22 15:35 5,163,689 --a------ C:\WINDOWS\REGBK00.ZIP
2008-03-22 15:34 . 2004-08-03 23:58 153,600 --a------ C:\WINDOWS\R.COM
2008-03-22 15:34 . 2004-08-03 23:58 140,800 --a------ C:\WINDOWS\system32\T.COM
2008-03-22 15:33 . 2008-03-22 15:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MicroWorld
2008-03-22 15:33 . 2008-03-26 16:29 <DIR> d-------- C:\Programme\eScan
2008-03-22 13:46 . 2008-03-22 13:46 <DIR> d-------- C:\Dokumente und Einstellungen\Hermann\.javaws
2008-03-22 13:46 . 2003-02-20 16:42 229,487 --a------ C:\WINDOWS\system32\jpicpl32.cpl
2008-03-22 13:46 . 2008-03-22 13:46 87,184 --a------ C:\WINDOWS\NSUninst.exe
2008-03-22 13:45 . 2008-03-22 13:45 <DIR> d-------- C:\Programme\Gemeinsame Dateien\mozilla.org
2008-03-22 13:45 . 2008-03-22 13:45 87,184 --a------ C:\WINDOWS\GREUninstall.exe
2008-03-22 13:43 . 2008-03-22 13:43 <DIR> d-------- C:\Programme\Netscape
2008-03-22 13:33 . 2008-03-22 13:33 28,066 --a------ C:\WINDOWS\system32\drivers\HookCentre.sys
2008-03-22 10:37 . 2008-03-22 18:31 6,748 --a------ C:\WINDOWS\unins000.dat
2008-03-21 18:48 . 2008-03-21 18:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-03-21 18:37 . 2008-03-22 13:28 <DIR> d-------- C:\Programme\ClearProg
2008-02-27 09:34 . 2008-03-22 15:50 <DIR> d-------- C:\Programme\AntiVirenKit 2006
2008-02-27 09:17 . 2004-11-28 13:11 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.MEINER\Vorlagen
2008-02-27 09:17 . 2004-11-28 13:03 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator.MEINER\Startmenü
2008-02-27 09:17 . 2004-11-28 13:03 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.MEINER\Netzwerkumgebung
2008-02-27 09:17 . 2008-03-22 15:07 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.MEINER\Lokale Einstellungen
2008-02-27 09:17 . 2004-11-28 13:03 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.MEINER\Favoriten
2008-02-27 09:17 . 2004-11-28 13:03 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.MEINER\Druckumgebung
2008-02-27 09:17 . 2004-11-28 13:03 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator.MEINER\Anwendungsdaten

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-26 15:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-25 20:52 --------- d-----w C:\Programme\fotobuch.de AG
2008-03-25 20:16 123,258 ----a-w C:\Dokumente und Einstellungen\Hermann\Anwendungsdaten\mdb.bin
2008-03-22 19:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-22 17:32 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-03-22 13:41 --------- d-----w C:\Programme\Yahoo!
2008-03-22 13:37 --------- d-----w C:\Programme\eBay
2008-03-22 12:46 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-22 12:46 --------- d-----w C:\Programme\Java
2008-03-22 12:37 --------- d-----w C:\Dokumente und Einstellungen\Hermann\Anwendungsdaten\WholeSecurity
2008-03-22 12:37 --------- d-----w C:\Dokumente und Einstellungen\Hermann\Anwendungsdaten\DE News Search
2008-03-22 12:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DE News Search
2008-03-22 12:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\G DATA
2008-03-22 12:31 --------- d-----w C:\Programme\Gemeinsame Dateien\G DATA
2008-03-22 12:28 --------- d-----w C:\Programme\Lavasoft
2008-03-22 12:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems
2008-03-21 17:48 --------- d-----w C:\Dokumente und Einstellungen\Hermann\Anwendungsdaten\Lavasoft
2008-02-23 13:36 --------- d-----w C:\Programme\RouterControl
2008-02-19 17:34 47,104 ----a-w C:\WINDOWS\inst_tsp.exe
2008-02-19 15:42 47,104 ----a-w C:\WINDOWS\killproc.exe
2008-02-18 20:44 107,520 ----a-w C:\WINDOWS\inst_tspi.exe
2008-02-18 20:39 65,536 ----a-w C:\WINDOWS\inst_tspx.exe
2008-02-15 12:51 --------- d-----w C:\Programme\Aldi Sued Fotoservice
2008-02-11 14:56 --------- d-----w C:\Programme\ScanWizard 5
2008-02-01 12:54 --------- d-----w C:\Programme\QuickTime
2008-02-01 12:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-01-31 20:44 --------- d-----w C:\Programme\ALDI Sued Foto Service
2008-01-27 16:49 --------- d-----w C:\Dokumente und Einstellungen\Hermann\Anwendungsdaten\fotobuch.de AG
2008-01-27 16:49 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\fotobuch.de AG
2008-01-15 13:20 330,336 ----a-w C:\WINDOWS\RCoUn.EXE
2006-11-11 20:50 3,584 ----a-w C:\Dokumente und Einstellungen\Hermann\netcache.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
"NCLaunch"="C:\WINDOWS\NCLAUNCH.EXe" [2005-02-23 17:41 28672]
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [2004-07-26 19:14 1867776]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"IncrediMail"="C:\Programme\IncrediMail\bin\IncMail.exe" [2007-08-21 10:44 208946]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"Magentic"="C:\PROGRA~1\Magentic\bin\Magentic.exe" [2007-10-09 13:42 475180]
"Mozilla Quick Launch"="C:\Programme\Netscape\Netscape\Netscp.exe" [2003-06-24 12:09 568096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="C:\Programme\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 08:57 143360]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-10-26 21:10 344064]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-09-13 15:49 49152]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2003-10-23 19:51 233472]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-07-28 14:43 188416]
"DeviceDiscovery"="C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2003-05-21 18:37 229437]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"ALDI_SUED_FotoSuite_Download"="C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" [2007-01-26 16:44 1167360]
"ALDI Foto Service"="C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" [2007-01-26 16:44 1167360]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-01-10 15:27 385024]
"eScan Updater"="C:\PROGRA~1\eScan\TRAYICOS.exe" [2008-02-20 19:56 1300480]
"MailScan Dispatcher"="C:\PROGRA~1\eScan\LAUNCH.exe" [2008-02-19 18:19 192512]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\windows nt\currentversion\windows]
"AppInit_DLLs"=c62o22p8pu15b3.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.
dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll.dll


[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ImapiService"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\Magentic\\bin\\MgImp.exe"=
"C:\\Programme\\Magentic\\bin\\Magentic.exe"=
"C:\\Programme\\Magentic\\bin\\MgApp.exe"=
"C:\\Programme\\fotobuch.de AG\\Designer 2.0\\Designer.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImApp.exe"=
"C:\\PROGRA~1\\eScan\\DOWNLOAD.EXE"=
"C:\\PROGRA~1\\eScan\\TRAYICOS.EXE"=
"C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=
"C:\\PROGRA~1\\eScan\\LICENSE.EXE"=
"C:\\PROGRA~1\\eScan\\MAILADM.EXE"=
"C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\eScanRAD\\ESCANRAD.EXE"=

R2 eScan-trayicos;eScan Server-Updater;C:\PROGRA~1\eScan\TRAYSSER.EXE [2008-02-19 16:53]
R3 ProcObsrves;Process Creation Monitor;C:\PROGRA~1\eScan\ProcObsrves.sys [2007-12-10 17:25]
S3 HookCentre;HookCentre;C:\WINDOWS\system32\drivers\HookCentre.sys [2008-03-22 13:33]

.
Inhalt des "geplante Tasks" Ordners
"2008-03-22 17:28:49 C:\WINDOWS\Tasks\Spybot - Search & Destroy - Scheduled Task.job"
- C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-26 16:56:47
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Einträge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
--------------------- DLLs Loaded Under Running Processes ---------------------

PROCESS: C:\WINDOWS\system32\winlogon.exe
-> C:\Programme\SUPERAntiSpyware\SASWINLO.dll
.
Zeit der Fertigstellung: 2008-03-26 16:57:18
ComboFix-quarantined-files.txt 2008-03-26 15:57:15
ComboFix2.txt 2008-03-22 14:07:19
.
2008-03-22 16:51:22 --- E O F ---

#6 Hallo,

Lade avenger
http://virus-protect.org/artikel/tools/avenger.html

kopiere in das weisse Feld: (ohne zitat)

Zitat

Registry values to replace with dummy:
HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs

schliesse alle offenen Programme (denn nach Anwendung des Avengers wird der Rechner neustarten)

Klicke: Execute

bestätige, dass der Rechner neu gestartet wird - klicke "yes"

««

wende windowsscan an + poste das log
http://virus-protect.org/artikel/tools/windowsscan.html
__________
MfG Sabina

rund um die PC-Sicherheit

#7 hier mal das log vom Avenger:

Logfile of The Avenger Version 2.0, (c) by Swandog46
http://swandog46.geekstogo.com

Platform: Windows XP

*******************

Script file opened successfully.
Script file read successfully.

Backups directory opened successfully at C:\Avenger

*******************

Beginning to process script file:

Rootkit scan active.
No rootkits found!

Registry value "HKLM\Software\Microsoft\Windows NT\CurrentVersion\Windows|AppInit_DLLs" replaced with dummy successfully.

Completed script processing.

*******************

Finished! Terminate.




und hier der Windowsscan:
Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

27.03.2008 win.ini 14 41:3.166
27.03.2008 WindowsUpdate.log 14 40:2.014.093
27.03.2008 0.log 14 39:0
27.03.2008 ESCAN.LOG 14 39:11.108
27.03.2008 wiadebug.log 14 39:159
27.03.2008 wiaservc.log 14 39:50
27.03.2008 frights.log 14 39:195
27.03.2008 bootstat.dat 14 39:2.048
27.03.2008 SchedLgU.Txt 14 37:3.044
26.03.2008 escan.dbf 18 54:21
26.03.2008 system.ini 16 56:270
25.03.2008 Filzip.ini 22 03:41
25.03.2008 mgxoschk.ini 21 37:6.768
25.03.2008 XMLEditor4.INI 20 45:737
22.03.2008 unins000.dat 18 31:6.748
22.03.2008 unins000.exe 18 30:691.545
22.03.2008 WIN.PRO 15 44:20
22.03.2008 winsbak2.reg 15 35:105.888
22.03.2008 winsbak.reg 15 35:14.866
22.03.2008 REGBK00.ZIP 15 35:5.163.689
22.03.2008 mozver.dat 13 47:13.417
22.03.2008 NSUninst.exe 13 46:87.184
22.03.2008 GREUninstall.exe 13 45:87.184
22.03.2008 QTFont.qfn 13 34:54.156
23.02.2008 RouterControl_Uninstall.in 14 36:1.844
19.02.2008 inst_tsp.exe 18 34:47.104
19.02.2008 killproc.exe 16 42:47.104


Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

27.03.2008 wpa.dbl 14 40:2.206
27.03.2008 perfc009.dat 14 32:59.440
27.03.2008 perfh009.dat 14 32:395.200
27.03.2008 perfh007.dat 14 32:408.618
27.03.2008 perfc007.dat 14 32:71.598
27.03.2008 PerfStringBackup.INI 14 32:946.822
17.03.2008 jupdate-1.6.0_05-b13.log 20 34:6.641
05.03.2008 MRT.exe 17 30:19.148.408
19.02.2008 mwtsp.dll 18 34:401.408
19.02.2008 mwnsp.dll 18 32:143.360
19.02.2008 contfilt.dll 16 55:1.208.320
28.01.2008 FNTCACHE.DAT 09 21:413.472
10.01.2008 QuickTimeVR.qtx 15 27:90.112
10.01.2008 QuickTime.qts 15 27:57.344
10.01.2008 mscandc.ini 14 23:40
08.01.2008 eInstall.exe 15 00:509.952
12.12.2007 TZLog.log 11 49:387.268
09.12.2007 jupdate-1.6.0_03-b05.log 09 52:5.686
07.12.2007 mshtml.dll 15 36:3.080.192
07.12.2007 wininet.dll 02 06:665.088
07.12.2007 urlmon.dll 02 06:617.472
07.12.2007 shdocvw.dll 02 06:1.494.528
07.12.2007 shlwapi.dll 02 06:474.624
07.12.2007 mstime.dll 02 06:532.480
07.12.2007 pngfilt.dll 02 06:39.424
07.12.2007 mshtmled.dll 02 06:449.024
07.12.2007 msrating.dll 02 06:146.432
07.12.2007 extmgr.dll 02 06:55.808
07.12.2007 inseng.dll 02 06:96.768
07.12.2007 dxtmsft.dll 02 06:357.888
07.12.2007 iepeers.dll 02 06:251.392
07.12.2007 dxtrans.dll 02 06:205.312
07.12.2007 jsproxy.dll 02 06:16.384
07.12.2007 danim.dll 02 06:1.056.256
07.12.2007 cdfview.dll 02 06:152.064
07.12.2007 browseui.dll 02 06:1.023.488
07.12.2007 xpsp3res.dll 00 40:373.760
04.12.2007 oleaut32.dll 19 40:550.912
04.12.2007 mgxoschk.dll 14 20:700.416
21.11.2007 Filzip.ini 09 35:41
14.11.2007 jscript.dll 08 26:450.560
13.11.2007 tzchange.exe 12 31:60.416
07.11.2007 lsasrv.dll 10 27:729.600
29.10.2007 quartz.dll 23 42:1.293.312
25.10.2007 shell32.dll 17 55:8.495.616
25.10.2007 wmasf.dll 09 28:222.720
24.10.2007 amcompat.tlb 12 32:16.832


***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

Zitat

127.0.0.1 localhost
# Start of entries inserted by Spybot - Search & Destroy
127.0.0.1 007guard.com
127.0.0.1 008i.com
127.0.0.1 008k.com
127.0.0.1 00hq.com
127.0.0.1 010402.com
127.0.0.1 032439.com
127.0.0.1 1001-search.info
127.0.0.1 100888290cs.com
127.0.0.1 100sexlinks.com
127.0.0.1 3721.com
127.0.0.1 39-93.com
127.0.0.1 3abetterinternet.com
127.0.0.1 3bay.it
127.0.0.1 zerocodec.com

edit (Sabina)

# This list is Copyright 2000-2007 Safer Networking Limited
# End of entries inserted by Spybot - Search & Destroy

***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****


Abbildname PID Sitzungsname Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process 0 Console 0 16 K
System 4 Console 0 228 K
smss.exe 544 Console 0 376 K
csrss.exe 608 Console 0 5.480 K
winlogon.exe 636 Console 0 5.876 K
services.exe 680 Console 0 4.176 K
lsass.exe 692 Console 0 6.748 K
ati2evxx.exe 848 Console 0 2.932 K
svchost.exe 876 Console 0 5.536 K
svchost.exe 940 Console 0 4.928 K
svchost.exe 1036 Console 0 23.260 K
svchost.exe 1140 Console 0 5.776 K
ati2evxx.exe 1344 Console 0 3.628 K
svchost.exe 1428 Console 0 5.036 K
explorer.exe 1444 Console 0 31.300 K
spoolsv.exe 1604 Console 0 5.520 K
notepad.exe 1780 Console 0 4.456 K
SMTray.exe 1888 Console 0 3.620 K
atiptaxx.exe 1904 Console 0 4.980 K
hpwuSchd2.exe 1912 Console 0 3.020 K
hpcmpmgr.exe 1924 Console 0 7.104 K
hpztsb09.exe 1932 Console 0 3.640 K
hpotdd01.exe 1940 Console 0 4.420 K
jusched.exe 1960 Console 0 3.168 K
QTTask.exe 1984 Console 0 3.252 K
TRAYICOS.EXE 1992 Console 0 5.940 K
pctsTray.exe 2008 Console 0 1.624 K
ctfmon.exe 2032 Console 0 3.904 K
msmsgs.exe 2040 Console 0 1.120 K
NCLAUNCH.EXe 148 Console 0 3.076 K
TeaTimer.exe 196 Console 0 37.108 K
Netscp.exe 228 Console 0 18.336 K
reader_sl.exe 448 Console 0 3.376 K
ImApp.exe 484 Console 0 8.740 K
ScannerFinder.exe 508 Console 0 3.916 K
MgApp.exe 816 Console 0 10.088 K
avpmapp.exe 1296 Console 0 6.020 K
TRAYSSER.EXE 1392 Console 0 3.344 K
MWASER.EXE 1692 Console 0 3.244 K
SCANNINGPROCESS.EXE 1860 Console 0 14.316 K
MWAGENT.EXE 2072 Console 0 4.328 K
pctsAuxs.exe 2160 Console 0 716 K
CONSCTL.EXE 2176 Console 0 3.016 K
pctsSvc.exe 2244 Console 0 24.580 K
SMAgent.exe 2324 Console 0 2.676 K
svchost.exe 2340 Console 0 4.948 K
escanmon.exe 3040 Console 0 12.468 K
wmiprvse.exe 3572 Console 0 5.408 K
alg.exe 3936 Console 0 4.244 K
WgaTray.exe 900 Console 0 516 K
wuauclt.exe 1320 Console 0 8.284 K
firefox.exe 2688 Console 0 73.228 K
cmd.exe 2984 Console 0 2.928 K
tasklist.exe 3964 Console 0 5.124 K
wmiprvse.exe 4028 Console 0 6.932 K



Microsoft Windows XP [Version 5.1.2600]


http://www.paules-pc-forum.de
***** Malware Team *****


***** Ende des Scans 27.03.2008 um 14:43:13,39 ***

#8 Hallo,

öffne das HijackThis
*Do a system scan only
*Config
*Misc Tools
*Open Hosts file Manager
*delet line(s)

lösche alles , lasse nur stehen:
127.0.0.1 localhost



«
starte den rechner neu + wende noch mal windowsscan an + poste das log
(und berichte, ob das Lila weg ist)
__________
MfG Sabina

rund um die PC-Sicherheit

#9 Hi Sabina,


habs mal probiert aber der Hintergrund ist ab und zu immer noch da.

Hier das Log vom Windowsscan:
Die 30 neuesten Dateien im Ordner Windows:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS *****
***** ***** ***** ***** *****

28.03.2008 win.ini 13 45:3.170
28.03.2008 WindowsUpdate.log 13 44:13.926
28.03.2008 0.log 13 43:0
28.03.2008 wiadebug.log 13 43:159
28.03.2008 ESCAN.LOG 13 43:6.741
28.03.2008 wiaservc.log 13 43:50
28.03.2008 frights.log 13 43:130
28.03.2008 bootstat.dat 13 43:2.048
28.03.2008 SchedLgU.Txt 13 42:3.908
28.03.2008 Sti_Trace.log 13 34:0
26.03.2008 escan.dbf 18 54:21
26.03.2008 system.ini 16 56:270
25.03.2008 Filzip.ini 22 03:41
25.03.2008 mgxoschk.ini 21 37:6.768
25.03.2008 XMLEditor4.INI 20 45:737
22.03.2008 unins000.dat 18 31:6.748
22.03.2008 unins000.exe 18 30:691.545
22.03.2008 WIN.PRO 15 44:20
22.03.2008 winsbak2.reg 15 35:105.888
22.03.2008 winsbak.reg 15 35:14.866
22.03.2008 REGBK00.ZIP 15 35:5.163.689
22.03.2008 mozver.dat 13 47:13.417
22.03.2008 NSUninst.exe 13 46:87.184
22.03.2008 GREUninstall.exe 13 45:87.184
22.03.2008 QTFont.qfn 13 34:54.156
23.02.2008 RouterControl_Uninstall.in 14 36:1.844
19.02.2008 inst_tsp.exe 18 34:47.104


Die 50 neuesten Dateien im Ordner Windows\system32:

***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32 *****
***** ***** ***** ***** *****

28.03.2008 wpa.dbl 13 44:2.206
27.03.2008 perfh009.dat 14 32:395.200
27.03.2008 perfc009.dat 14 32:59.440
27.03.2008 perfh007.dat 14 32:408.618
27.03.2008 perfc007.dat 14 32:71.598
27.03.2008 PerfStringBackup.INI 14 32:946.822
17.03.2008 jupdate-1.6.0_05-b13.log 20 34:6.641
05.03.2008 MRT.exe 17 30:19.148.408
19.02.2008 mwtsp.dll 18 34:401.408
19.02.2008 mwnsp.dll 18 32:143.360
19.02.2008 contfilt.dll 16 55:1.208.320
28.01.2008 FNTCACHE.DAT 09 21:413.472
10.01.2008 QuickTimeVR.qtx 15 27:90.112
10.01.2008 QuickTime.qts 15 27:57.344
10.01.2008 mscandc.ini 14 23:40
08.01.2008 eInstall.exe 15 00:509.952
12.12.2007 TZLog.log 11 49:387.268
09.12.2007 jupdate-1.6.0_03-b05.log 09 52:5.686
07.12.2007 mshtml.dll 15 36:3.080.192
07.12.2007 wininet.dll 02 06:665.088
07.12.2007 shdocvw.dll 02 06:1.494.528
07.12.2007 urlmon.dll 02 06:617.472
07.12.2007 shlwapi.dll 02 06:474.624
07.12.2007 mstime.dll 02 06:532.480
07.12.2007 pngfilt.dll 02 06:39.424
07.12.2007 mshtmled.dll 02 06:449.024
07.12.2007 msrating.dll 02 06:146.432
07.12.2007 extmgr.dll 02 06:55.808
07.12.2007 iepeers.dll 02 06:251.392
07.12.2007 dxtrans.dll 02 06:205.312
07.12.2007 jsproxy.dll 02 06:16.384
07.12.2007 inseng.dll 02 06:96.768
07.12.2007 dxtmsft.dll 02 06:357.888
07.12.2007 cdfview.dll 02 06:152.064
07.12.2007 danim.dll 02 06:1.056.256
07.12.2007 browseui.dll 02 06:1.023.488
07.12.2007 xpsp3res.dll 00 40:373.760
04.12.2007 oleaut32.dll 19 40:550.912
04.12.2007 mgxoschk.dll 14 20:700.416
21.11.2007 Filzip.ini 09 35:41
14.11.2007 jscript.dll 08 26:450.560
13.11.2007 tzchange.exe 12 31:60.416
07.11.2007 lsasrv.dll 10 27:729.600
29.10.2007 quartz.dll 23 42:1.293.312
25.10.2007 shell32.dll 17 55:8.495.616
25.10.2007 wmasf.dll 09 28:222.720
24.10.2007 amcompat.tlb 12 32:16.832


***** ***** ***** ***** *****
***** Scanning C:\WINDOWS\system32\drivers\etc\hosts *****
***** ***** ***** ***** *****

127.0.0.1 localhost





***** ***** ***** ***** *****
***** Scanning Processe *****
***** ***** ***** ***** *****


Abbildname PID Sitzungsname Sitz.-Nr. Speichernutzung
========================= ===== ================ ========== ===============
System Idle Process 0 Console 0 16 K
System 4 Console 0 228 K
smss.exe 540 Console 0 376 K
csrss.exe 604 Console 0 5.164 K
winlogon.exe 632 Console 0 4.644 K
services.exe 676 Console 0 4.184 K
lsass.exe 688 Console 0 6.704 K
ati2evxx.exe 844 Console 0 2.932 K
svchost.exe 872 Console 0 5.512 K
svchost.exe 936 Console 0 4.920 K
svchost.exe 1032 Console 0 23.316 K
svchost.exe 1192 Console 0 4.048 K
ati2evxx.exe 1344 Console 0 3.632 K
svchost.exe 1428 Console 0 5.036 K
explorer.exe 1448 Console 0 31.224 K
spoolsv.exe 1632 Console 0 5.508 K
SMTray.exe 1848 Console 0 3.600 K
atiptaxx.exe 1880 Console 0 4.972 K
hpwuSchd2.exe 1888 Console 0 3.016 K
hpcmpmgr.exe 1896 Console 0 7.092 K
hpztsb09.exe 1904 Console 0 3.628 K
hpotdd01.exe 1912 Console 0 4.460 K
jusched.exe 1920 Console 0 3.328 K
QTTask.exe 1944 Console 0 3.188 K
TRAYICOS.EXE 1952 Console 0 5.908 K
pctsTray.exe 1972 Console 0 1.600 K
ctfmon.exe 1980 Console 0 3.872 K
msmsgs.exe 1988 Console 0 1.076 K
NCLAUNCH.EXe 1996 Console 0 3.044 K
TeaTimer.exe 2028 Console 0 36.552 K
Netscp.exe 2044 Console 0 18.308 K
reader_sl.exe 332 Console 0 3.376 K
ImApp.exe 404 Console 0 8.828 K
ScannerFinder.exe 456 Console 0 3.908 K
MgApp.exe 520 Console 0 6.648 K
avpmapp.exe 1144 Console 0 6.052 K
TRAYSSER.EXE 1292 Console 0 3.344 K
MWASER.EXE 1584 Console 0 3.220 K
SCANNINGPROCESS.EXE 1760 Console 0 19.664 K
CONSCTL.EXE 1792 Console 0 3.016 K
MWAGENT.EXE 1320 Console 0 4.284 K
pctsAuxs.exe 2096 Console 0 716 K
pctsSvc.exe 2172 Console 0 24.576 K
SMAgent.exe 2252 Console 0 2.676 K
svchost.exe 2284 Console 0 4.956 K
escanmon.exe 3164 Console 0 12.456 K
wmiprvse.exe 3432 Console 0 5.380 K
alg.exe 3668 Console 0 4.240 K
WgaTray.exe 2016 Console 0 344 K
wuauclt.exe 1332 Console 0 8.256 K
firefox.exe 2500 Console 0 73.512 K
cmd.exe 2720 Console 0 2.908 K
tasklist.exe 1244 Console 0 5.116 K
wmiprvse.exe 3724 Console 0 6.928 K



Microsoft Windows XP [Version 5.1.2600]


http://www.paules-pc-forum.de
***** Malware Team *****


***** Ende des Scans 28.03.2008 um 13:48:50,07 ***

#10 hallo,

1.
http://www.virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standart List of Files/Folders to be Move

Zitat

C:\WINDOWS\R.COM
C:\WINDOWS\system32\T.COM

Klicke auf den Roten MoveIt!


2.
Start - Ausführen - Kopiere rein: Combofix /U - klicke "OK"

3.
lade combofix neu + poste den report
http://www.virus-protect.org/artikel/tools/combofix.html
__________
MfG Sabina

rund um die PC-Sicherheit

#11 Hi,

habe alles ausgeführt und hier der neueste LOG:
ComboFix 08-03-27.3 - Hermann 2008-03-29 10:41:15.3 - NTFSx86
Microsoft Windows XP Professional 5.1.2600.2.1252.1.1031.18.970 [GMT 1:00]
ausgeführt von:: C:\Dokumente und Einstellungen\Hermann\Desktop\ComboFix.exe
* Neuer Wiederherstellungspunkt wurde erstellt

[color=red]WARNING -THIS MACHINE DOES NOT HAVE THE RECOVERY CONSOLE INSTALLED !![/color]
.

(((((((((((((((((((((((((((((((((((( Weitere L”schungen ))))))))))))))))))))))))))))))))))))))))))))))))
.

C:\WINDOWS\regedit.com
C:\WINDOWS\system32\taskmgr.com

.
((((((((((((((((((((((((((((((((((((((( Drivers/Services )))))))))))))))))))))))))))))))))))))))))))))))))
.

-------\Service_npf


((((((((((((((((((((((( Dateien erstellt von 2008-02-28 bis 2008-03-29 ))))))))))))))))))))))))))))))
.

2008-03-28 09:39 . 2008-03-28 09:39 <DIR> d-a------ C:\WINDOWS\zts2.exe
2008-03-28 09:39 . 2008-03-28 09:39 <DIR> d-a------ C:\WINDOWS\system32\vcmgcd32.dll
2008-03-28 09:39 . 2008-03-28 09:39 <DIR> d-a------ C:\WINDOWS\system32\iifgfgf.dll
2008-03-28 09:39 . 2008-03-28 09:39 <DIR> d-a------ C:\WINDOWS\rundll16.exe
2008-03-28 09:39 . 2008-03-28 09:39 <DIR> d-a------ C:\WINDOWS\rundl132.dll
2008-03-28 09:39 . 2008-03-28 09:39 <DIR> d-a------ C:\WINDOWS\logo1_.exe
2008-03-27 14:31 . 2008-03-27 14:35 <DIR> d-------- C:\Programme\Spyware Doctor
2008-03-27 14:31 . 2008-03-27 14:31 <DIR> d-------- C:\Dokumente und Einstellungen\Hermann\Anwendungsdaten\PC Tools
2008-03-27 14:31 . 2008-03-29 10:46 <DIR> d-a------ C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\TEMP
2008-03-27 14:31 . 2007-12-10 14:53 81,288 --a------ C:\WINDOWS\system32\drivers\iksyssec.sys
2008-03-27 14:31 . 2007-12-10 14:53 66,952 --a------ C:\WINDOWS\system32\drivers\iksysflt.sys
2008-03-27 14:31 . 2008-02-01 12:55 42,376 --a------ C:\WINDOWS\system32\drivers\ikfilesec.sys
2008-03-27 14:31 . 2007-12-10 14:53 29,576 --a------ C:\WINDOWS\system32\drivers\kcom.sys
2008-03-26 16:51 . 2008-03-26 16:51 <DIR> d-------- C:\Programme\CCleaner
2008-03-26 16:37 . 2008-03-26 16:37 <DIR> d-------- C:\Programme\Trend Micro
2008-03-26 16:13 . 2008-03-26 16:32 <DIR> d-------- C:\Programme\SUPERAntiSpyware
2008-03-26 16:13 . 2008-03-26 16:13 <DIR> d-------- C:\Dokumente und Einstellungen\Hermann\Anwendungsdaten\SUPERAntiSpyware.com
2008-03-26 16:13 . 2008-03-26 16:13 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\SUPERAntiSpyware.com
2008-03-22 18:31 . 2008-03-22 18:30 691,545 --a------ C:\WINDOWS\unins000.exe
2008-03-22 18:02 . 2008-03-22 18:02 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.MEINER.000\Anwendungsdaten\Lavasoft
2008-03-22 17:53 . 2004-11-28 13:11 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.MEINER.000\Vorlagen
2008-03-22 17:53 . 2004-11-28 13:03 <DIR> dr------- C:\Dokumente und Einstellungen\Administrator.MEINER.000\Startmen�
2008-03-22 17:53 . 2004-11-28 13:03 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.MEINER.000\Netzwerkumgebung
2008-03-22 17:53 . 2008-03-26 16:57 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.MEINER.000\Lokale Einstellungen
2008-03-22 17:53 . 2004-11-28 13:03 <DIR> d-------- C:\Dokumente und Einstellungen\Administrator.MEINER.000\Favoriten
2008-03-22 17:53 . 2004-11-28 13:03 <DIR> d--h----- C:\Dokumente und Einstellungen\Administrator.MEINER.000\Druckumgebung
2008-03-22 17:53 . 2008-03-22 18:02 <DIR> dr-h----- C:\Dokumente und Einstellungen\Administrator.MEINER.000\Anwendungsdaten
2008-03-22 15:44 . 2008-03-22 15:44 20 --a------ C:\WINDOWS\WIN.PRO
2008-03-22 15:41 . 2008-03-29 10:47 25,234,976 --ahs---- C:\WINDOWS\system32\drivers\fidbox.dat
2008-03-22 15:41 . 2008-03-29 10:45 340,028 --ahs---- C:\WINDOWS\system32\drivers\fidbox.idx
2008-03-22 15:40 . 2008-03-28 20:27 21 --a------ C:\WINDOWS\escan.dbf
2008-03-22 15:37 . 2008-03-22 15:37 <DIR> d-------- C:\PUB
2008-03-22 15:35 . 2008-03-22 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Vorlagen
2008-03-22 15:35 . 2008-03-22 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Startmen�
2008-03-22 15:35 . 2008-03-22 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Favoriten
2008-03-22 15:35 . 2008-03-22 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Dokumente
2008-03-22 15:35 . 2008-03-22 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\remoteservice\Anwendungsdaten
2008-03-22 15:35 . 2008-03-22 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Vorlagen
2008-03-22 15:35 . 2008-03-22 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Startmen�
2008-03-22 15:35 . 2008-03-22 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Favoriten
2008-03-22 15:35 . 2008-03-22 15:35 <DIR> d-------- C:\Dokumente und Einstellungen\LocalService\Dokumente
2008-03-22 15:35 . 2008-03-22 15:35 105,888 --a------ C:\WINDOWS\winsbak2.reg
2008-03-22 15:35 . 2008-03-22 15:35 14,866 --a------ C:\WINDOWS\winsbak.reg
2008-03-22 15:35 . 2004-11-28 13:25 211 --a------ C:\bootini.ins
2008-03-22 15:34 . 2008-03-22 15:35 5,163,689 --a------ C:\WINDOWS\REGBK00.ZIP
2008-03-22 15:33 . 2008-03-22 15:33 <DIR> d-------- C:\Programme\Gemeinsame Dateien\MicroWorld
2008-03-22 15:33 . 2008-03-29 10:46 <DIR> d-------- C:\Programme\eScan
2008-03-22 13:46 . 2008-03-22 13:46 <DIR> d-------- C:\Dokumente und Einstellungen\Hermann\.javaws
2008-03-22 13:46 . 2003-02-20 16:42 229,487 --a------ C:\WINDOWS\system32\jpicpl32.cpl
2008-03-22 13:46 . 2008-03-22 13:46 87,184 --a------ C:\WINDOWS\NSUninst.exe
2008-03-22 13:45 . 2008-03-22 13:45 <DIR> d-------- C:\Programme\Gemeinsame Dateien\mozilla.org
2008-03-22 13:45 . 2008-03-22 13:45 87,184 --a------ C:\WINDOWS\GREUninstall.exe
2008-03-22 13:43 . 2008-03-22 13:43 <DIR> d-------- C:\Programme\Netscape
2008-03-22 13:33 . 2008-03-22 13:33 28,066 --a------ C:\WINDOWS\system32\drivers\HookCentre.sys
2008-03-22 10:37 . 2008-03-22 18:31 6,748 --a------ C:\WINDOWS\unins000.dat
2008-03-21 18:48 . 2008-03-21 18:48 <DIR> d-------- C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Lavasoft
2008-03-21 18:37 . 2008-03-22 13:28 <DIR> d-------- C:\Programme\ClearProg

.
(((((((((((((((((((((((((((((((((((( Find3M Bericht ))))))))))))))))))))))))))))))))))))))))))))))))))))))
.
2008-03-26 15:32 --------- d-----w C:\Programme\Gemeinsame Dateien\Wise Installation Wizard
2008-03-25 20:52 --------- d-----w C:\Programme\fotobuch.de AG
2008-03-25 20:16 123,258 ----a-w C:\Dokumente und Einstellungen\Hermann\Anwendungsdaten\mdb.bin
2008-03-22 19:09 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Spybot - Search & Destroy
2008-03-22 17:32 --------- d-----w C:\Programme\Spybot - Search & Destroy
2008-03-22 14:50 --------- d-----w C:\Programme\AntiVirenKit 2006
2008-03-22 13:41 --------- d-----w C:\Programme\Yahoo!
2008-03-22 13:37 --------- d-----w C:\Programme\eBay
2008-03-22 12:46 --------- d--h--w C:\Programme\InstallShield Installation Information
2008-03-22 12:46 --------- d-----w C:\Programme\Java
2008-03-22 12:37 --------- d-----w C:\Dokumente und Einstellungen\Hermann\Anwendungsdaten\WholeSecurity
2008-03-22 12:37 --------- d-----w C:\Dokumente und Einstellungen\Hermann\Anwendungsdaten\DE News Search
2008-03-22 12:37 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\DE News Search
2008-03-22 12:33 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\G DATA
2008-03-22 12:31 --------- d-----w C:\Programme\Gemeinsame Dateien\G DATA
2008-03-22 12:28 --------- d-----w C:\Programme\Lavasoft
2008-03-22 12:28 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\ACD Systems
2008-03-21 17:48 --------- d-----w C:\Dokumente und Einstellungen\Hermann\Anwendungsdaten\Lavasoft
2008-02-23 13:36 --------- d-----w C:\Programme\RouterControl
2008-02-19 17:34 47,104 ----a-w C:\WINDOWS\inst_tsp.exe
2008-02-19 15:42 47,104 ----a-w C:\WINDOWS\killproc.exe
2008-02-18 20:44 107,520 ----a-w C:\WINDOWS\inst_tspi.exe
2008-02-18 20:39 65,536 ----a-w C:\WINDOWS\inst_tspx.exe
2008-02-15 12:51 --------- d-----w C:\Programme\Aldi Sued Fotoservice
2008-02-11 14:56 --------- d-----w C:\Programme\ScanWizard 5
2008-02-01 12:54 --------- d-----w C:\Programme\QuickTime
2008-02-01 12:53 --------- d-----w C:\Dokumente und Einstellungen\All Users\Anwendungsdaten\Apple Computer
2008-01-31 20:44 --------- d-----w C:\Programme\ALDI Sued Foto Service
2008-01-15 13:20 330,336 ----a-w C:\WINDOWS\RCoUn.EXE
2006-11-11 20:50 3,584 ----a-w C:\Dokumente und Einstellungen\Hermann\netcache.dat
.

(((((((((((((((((((((((((((( Autostart Punkte der Registrierung ))))))))))))))))))))))))))))))))))))))))
.
.
REGEDIT4
*Hinweis* leere Eintrage & legitime Standardeintrage werden nicht angezeigt.

[HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\ctfmon.exe" [2004-08-03 23:57 15360]
"MSMSGS"="C:\Programme\Messenger\msmsgs.exe" [2004-10-13 17:24 1694208]
"NCLaunch"="C:\WINDOWS\NCLAUNCH.EXe" [2005-02-23 17:41 28672]
"NBJ"="C:\Programme\Ahead\Nero BackItUp\NBJ.exe" [2004-07-26 19:14 1867776]
"updateMgr"="C:\Programme\Adobe\Acrobat 7.0\Reader\AdobeUpdateManager.exe" [2006-03-30 16:45 313472]
"IncrediMail"="C:\Programme\IncrediMail\bin\IncMail.exe" [2007-08-21 10:44 208946]
"SpybotSD TeaTimer"="C:\Programme\Spybot - Search & Destroy\TeaTimer.exe" [2008-01-28 11:43 2097488]
"Magentic"="C:\PROGRA~1\Magentic\bin\Magentic.exe" [2007-10-09 13:42 475180]
"Mozilla Quick Launch"="C:\Programme\Netscape\Netscape\Netscp.exe" [2003-06-24 12:09 568096]

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run]
"Smapp"="C:\Programme\Analog Devices\SoundMAX\SMTray.exe" [2003-05-05 08:57 143360]
"NeroFilterCheck"="C:\WINDOWS\system32\NeroCheck.exe" [2001-07-09 11:50 155648]
"ATIPTA"="C:\Programme\ATI Technologies\ATI Control Panel\atiptaxx.exe" [2004-10-26 21:10 344064]
"HP Software Update"="C:\Programme\Hewlett-Packard\HP Software Update\HPWuSchd2.exe" [2004-09-13 15:49 49152]
"HP Component Manager"="C:\Programme\HP\hpcoretech\hpcmpmgr.exe" [2003-10-23 19:51 233472]
"HPDJ Taskbar Utility"="C:\WINDOWS\system32\spool\drivers\w32x86\3\hpztsb09.exe" [2003-07-28 14:43 188416]
"DeviceDiscovery"="C:\Programme\Hewlett-Packard\Digital Imaging\bin\hpotdd01.exe" [2003-05-21 18:37 229437]
"SunJavaUpdateSched"="C:\Programme\Java\jre1.6.0_03\bin\jusched.exe" [2007-09-25 01:11 132496]
"ALDI_SUED_FotoSuite_Download"="C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" [2007-01-26 16:44 1167360]
"ALDI Foto Service"="C:\Programme\ALDI Sued Foto Service\ALDI_Foto_Service\FotoSuite.exe" [2007-01-26 16:44 1167360]
"QuickTime Task"="C:\Programme\QuickTime\QTTask.exe" [2008-01-10 15:27 385024]
"eScan Updater"="C:\PROGRA~1\eScan\TRAYICOS.exe" [2008-02-20 19:56 1300480]
"MailScan Dispatcher"="C:\PROGRA~1\eScan\LAUNCH.exe" [2008-02-19 18:19 192512]
"ISTray"="C:\Programme\Spyware Doctor\pctsTray.exe" [2008-02-01 12:55 1103240]

[HKEY_USERS\.DEFAULT\Software\Microsoft\Windows\CurrentVersion\Run]
"CTFMON.EXE"="C:\WINDOWS\system32\CTFMON.EXE" [2004-08-03 23:57 15360]

[HKEY_LOCAL_MACHINE\software\microsoft\shared tools\msconfig\services]
"ImapiService"=3 (0x3)

[HKLM\~\services\sharedaccess\parameters\firewallpolicy\standardprofile\AuthorizedApplications\List]
"%windir%\\system32\\sessmgr.exe"=
"C:\\Programme\\IncrediMail\\bin\\IncMail.exe"=
"C:\\Programme\\Magentic\\bin\\MgImp.exe"=
"C:\\Programme\\Magentic\\bin\\Magentic.exe"=
"C:\\Programme\\Magentic\\bin\\MgApp.exe"=
"C:\\Programme\\fotobuch.de AG\\Designer 2.0\\Designer.exe"=
"C:\\Programme\\Mozilla Firefox\\firefox.exe"=
"C:\\Programme\\IncrediMail\\bin\\ImApp.exe"=
"C:\\PROGRA~1\\eScan\\DOWNLOAD.EXE"=
"C:\\PROGRA~1\\eScan\\TRAYICOS.EXE"=
"C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\Agent\\MWAGENT.EXE"=
"C:\\PROGRA~1\\eScan\\LICENSE.EXE"=
"C:\\PROGRA~1\\eScan\\MAILADM.EXE"=
"C:\\PROGRA~1\\GEMEIN~1\\MICROW~1\\eScanRAD\\ESCANRAD.EXE"=

R2 eScan-trayicos;eScan Server-Updater;C:\PROGRA~1\eScan\TRAYSSER.EXE [2008-02-19 16:53]
R3 ProcObsrves;Process Creation Monitor;C:\PROGRA~1\eScan\ProcObsrves.sys [2007-12-10 17:25]
S3 HookCentre;HookCentre;C:\WINDOWS\system32\drivers\HookCentre.sys [2008-03-22 13:33]

.
Inhalt des "geplante Tasks" Ordners
"2008-03-22 17:28:49 C:\WINDOWS\Tasks\Spybot - Search & Destroy - Scheduled Task.job"
- C:\Programme\Spybot - Search & Destroy\SpybotSD.exe
.
**************************************************************************

catchme 0.3.1344 W2K/XP/Vista - rootkit/stealth malware detector by Gmer, http://www.gmer.net
Rootkit scan 2008-03-29 10:46:46
Windows 5.1.2600 Service Pack 2 NTFS

Scanne versteckte Prozesse...

Scanne versteckte Autostart Eintr„ge...

Scanne versteckte Dateien...

Scan erfolgreich abgeschlossen
versteckte Dateien: 0

**************************************************************************
.
------------------------ Other Running Processes ------------------------
.
C:\WINDOWS\system32\Ati2evxx.exe
C:\WINDOWS\system32\Ati2evxx.exe
C:\Programme\Adobe\Acrobat 7.0\Reader\reader_sl.exe
C:\Programme\ScanWizard 5\ScannerFinder.exe
C:\PROGRA~1\INCRED~1\bin\ImApp.exe
C:\PROGRA~1\eScan\VISTA\avpmapp.exe
C:\PROGRA~1\Magentic\bin\MgApp.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWASER.EXE
c:\progra~1\escan\vista\ScanningProcess.exe
C:\PROGRA~1\eScan\consctl.exe
C:\Programme\Gemeinsame Dateien\MicroWorld\Agent\MWAgent.exe
C:\Programme\Spyware Doctor\pctsAuxs.exe
C:\Programme\Spyware Doctor\pctsSvc.exe
C:\Programme\Analog Devices\SoundMAX\SMAgent.exe
C:\PROGRA~1\eScan\Vista\eScanMon.exe
C:\WINDOWS\system32\WgaTray.exe
.
**************************************************************************
.
Zeit der Fertigstellung: 2008-03-29 10:49:20 - machine was rebooted
ComboFix-quarantined-files.txt 2008-03-29 09:49:13
ComboFix2.txt 2008-03-26 15:57:19
16 Verzeichnis(se), 38,182,305,792 Bytes frei
20 Verzeichnis(se), 38,103,097,344 Bytes frei
.
2008-03-22 16:51:22 --- E O F ---
Die unerwünschte Hintergrundfarbe ist da leider immer noch da.


Gruß

Wolfgang

#12 Eieiei - das ist ne reine Einstellung in Firefox. Hat da jemand rumgespielt ?
Tipp:Firefox ist Pink / Hintergrundfarbe

Vor 20 Jahren vielleicht hatten Viren noch Späße dieser Kategorie auf Lager.
Heute geht's doch mehr ans "Eingemachte"...
__________
Durchsuchen --> Aussuchen --> Untersuchen

#13 Hallo,

auf diese exe und dll hatte ich gewartet, komisch, dass sie im 1.Log nicht vorhanden waren

http://www.virus-protect.org/artikel/tools/otmoveIt.html
öffne: OTMoveIt.exe

Kopiere rein: im linken Fenster ,wo steht: Paste Standard List of Files/Folders to be Move

Zitat

C:\WINDOWS\zts2.exe
C:\WINDOWS\system32\vcmgcd32.dll
C:\WINDOWS\system32\iifgfgf.dll
C:\WINDOWS\rundll16.exe
C:\WINDOWS\rundl132.dll
C:\WINDOWS\logo1_.exe

Klicke auf den Roten MoveIt!

«
poste hier das Loeschlog

«
scanne , lasse entfernen,was gefunden wird, +poste den report
http://www.virus-protect.org/artikel/tools/malwarebytes.html

+

berichte, ob es noch LILA ist....
__________
MfG Sabina

rund um die PC-Sicherheit

#14 Hier kommt schon das Löschlog:

C:\WINDOWS\zts2.exe moved successfully.
C:\WINDOWS\system32\vcmgcd32.dll moved successfully.
C:\WINDOWS\system32\iifgfgf.dll moved successfully.
C:\WINDOWS\rundll16.exe moved successfully.
C:\WINDOWS\rundl132.dll moved successfully.
C:\WINDOWS\logo1_.exe moved successfully.

OTMoveIt2 by OldTimer - Version 1.0.21 log created on 04022008_162258

und hier das scanlog:
Malwarebytes' Anti-Malware 1.10
Datenbank Version: 582

Scan Art: Komplett Scan (A:\|C:\|D:\|E:\|)
Objekte gescannt: 94122
Scan Dauer: 33 minute(s), 7 second(s)

Infizierte Speicher Prozesse: 0
Infizierte Speicher Module: 0
Infizierte Registrierungsschlüssel: 3
Infizierte Registrierungswerte: 0
Infizierte Datei Objekte der Registrierung: 0
Infizierte Verzeichnisse: 0
Infizierte Dateien: 6

Infizierte Speicher Prozesse:
(Keine Malware Objekte gefunden)

Infizierte Speicher Module:
(Keine Malware Objekte gefunden)

Infizierte Registrierungsschlüssel:
HKEY_CLASSES_ROOT\Typelib\{50ccd00a-66b6-4d95-aaef-8ee959498f92} (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_LOCAL_MACHINE\SOFTWARE\Classes\stfngdvw.1 (Trojan.FakeAlert) -> Quarantined and deleted successfully.
HKEY_CURRENT_USER\Software\The Weather Channel (Adware.Hotbar) -> Quarantined and deleted successfully.

Infizierte Registrierungswerte:
(Keine Malware Objekte gefunden)

Infizierte Datei Objekte der Registrierung:
(Keine Malware Objekte gefunden)

Infizierte Verzeichnisse:
(Keine Malware Objekte gefunden)

Infizierte Dateien:
C:\Programme\Phototool\BACKUP\lfmac11n.001 (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\Programme\Phototool\BACKUP\lfmac11n.dll (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lfmac11n.dll (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\~GLH00a1.TMP (Trojan.Clicker) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\lsprst7.dll (Trojan.Agent) -> Quarantined and deleted successfully.
C:\WINDOWS\system32\ssprs.dll (Trojan.Agent) -> Quarantined and deleted successfully.


ich hab den Rechner neu gestartet aber der Hintergrund hält sich weiter hartnäckig.

Ja, es ist genau der gleiche wie bei dem Link von Joschi:
Firefox ist Pink / Hintergrundfarbe

Aber wenn da jemand herumgespielt hätte warum kommt dann bei allen Usern die gleiche Farbe raus?

Wolfgang

#15 Hallo,

istalliere SpywareBlaster
http://virus-protect.org/antispytools1.html

+ berichte

««««««««««««««««««««««««««««««««««««««««««««

dann scanne mit superantispyware, deinstalliere vorher den malwarebytes
http://virus-protect.org/artikel/tools/superantispyware.html
poste den report hier
__________
Gruss
Pinguin

bin dabei, meine Seite + Proggies zu aktualisieren: http://www.virus-protect.org/